Seguridad Informática Introducción al Ethical Hacking

20
Seguridad Informática Federico Pacheco @FedeQuark www.federicopacheco.com.ar [email protected] Introducción al Ethical Hacking

Transcript of Seguridad Informática Introducción al Ethical Hacking

Seguridad Informática

Federico Pacheco

@FedeQuark

www.federicopacheco.com.ar

[email protected]

Introducción al Ethical Hacking

Copyright Entropy Security

Contenidos

• Las evaluaciones de seguridad

• El hacker ético

• Metodología de ataque

• Entregables

Copyright Entropy Security

Seguridad en empresas y organizaciones

• La seguridad de la información es un aspecto de negocios $

• Requiere la implementación de un sistema de gestión de la seguridad

• Requiere la contratación de personal especializado

• Debe incluir evaluaciones internas y externas

Copyright Entropy Security

La evaluaciones de la seguridad

• Permiten conocer el nivel de seguridad de una organización

– Deben realizarse con periodicidad

– Deben contar con la debida autorización legal

• Motivaciones

– Cumplimiento de leyes, regulaciones y normativas

– Identificación de puntos débiles y vulnerabilidades

– Obtención de información para la gestión de la seguridad

• Ejecución y contratación (Ethical Hackers)

– Personal especializado

– Consultoras externas

– Profesionales independientes

Copyright Entropy Security

Tipos de evaluaciones

• Sobre sistemas y redes

– Vulnerability assessment

– Penetration test

– Auditoría informática

• Sobre software

– Testing de aplicaciones

– Auditoría de código fuente

Copyright Entropy Security

Auditoria Técnica de Sistemas

Copyright Entropy Security

Evaluación de la Seguridad Funcional

Copyright Entropy Security

Clasificación según conocimiento

White Box

• Total conocimiento

Gray Box

• Parcial conocimiento

Black Box

• Sin conocimiento

Copyright Entropy Security

Hackers: ¿héroes o villanos?

White Hat

(Ethical Hacker)

Grey Hat

y

Hacktivistas

Black Hat

(Cracker)

Copyright Entropy Security

El Hacker Ético – Rol

• Simular acciones de un ataque real

– ¿A qué puede acceder un intruso?

– ¿Que podría hacer con la información?

– ¿Puede ser notada una intrusión?

• Información necesaria

– Qué se intenta proteger

– Contra quién se protege

– Con qué recursos se cuenta

Copyright Entropy Security

El Hacker Etico – Perfil

• Experto en informática

– Software

– Hardware y electrónica

– Redes y telecomunicaciones

– Programación

– Investigación de vulnerabilidades

• Técnicas de seguridad

• Habilidades sociales

• Código de conducta estricto

• Paciencia y perseverancia

Copyright Entropy Security

Áreas de Explotación

Sistemas Operativos

Aplicaciones

Código propio Configuraciones

Copyright Entropy Security

Clasificación de ataques

Por actividad

Activos

Pasivos

Por ubicación

Internos

Externos

Por naturaleza

Técnico

No técnico

Copyright Entropy Security

Metodología de Ethical Hacking – Fases

Reconocimiento

Escaneo y enumeración

Acceso

Mantenimiento

Eliminación de rastros

Copyright Entropy Security

Metodología de EH – Tipos de escaneo

• Escaneo de Red

– Determinación de equipos activos y direcciones IP

– Detección de sistemas operativos y servicios

• Escaneo de Puertos

– Determinación de puertos TCP/UDP abiertos

– Detección de aplicaciones instaladas

• Escaneo de Vulnerabilidades

– Determinación de la existencia de vulnerabilidades conocidas

Copyright Entropy Security

Ethical Hacking – Proceso completo

Presentar el resultado al cliente (Reporte / Workshop)

Analizar resultados y elaborar los reportes

Llevar adelante el test

Preparar el equipo y establecer agenda

Preparar y firmar un NDA

Discutir con el cliente necesidades y expectativas

Copyright Entropy Security

Entregables

• Informe

– Características

• Calidad de confidencial

• Impreso y digital

– Contenido

• Información General

• Resumen ejecutivo

• Indice de riesgos

• Detalle pruebas realizadas

• Resultados obtenidos

• Vulnerabilidades identificadas

• Recomendaciones

• Detalle de herramientas y técnicas usadas

• Clasificación de problemas según nivel de riesgo

• Workshop (opcional)

– Presentación personalizada de los resultados

– Discusión sobre problemas y soluciones

– Asesoramiento de las alternativas de solución

Copyright Entropy Security

Resumen y conclusiones

• Las evaluaciones de seguridad deben incluirse en toda organización

• El ethical hacking supone la simulación de ataques reales

• El ethical hacker es un profesional de seguridad que se rige por un código de ética

• Existen metodologías y técnicas para realizar pruebas de seguridad

• El informe final representa el trabajo realizado y es de suma importancia

Copyright Entropy Security

Bibliografía, referencias y lecturas complementarias

¿Preguntas?

Federico Pacheco

@FedeQuark

www.federicopacheco.com.ar

[email protected]